Маршрутизаторы для домашних и малых офисных сетей
По данным компании Infonetics Research, всемирный рынок маршрутизаторов в прошлом году (2012 г.) оценивался в 3,5 млрд долл., показывая в среднем снижение на 3% от 2011 г. В то же время рынок маршрутизаторов нижней ценовой категории, напротив, вырос на 20% и стал самым крупным сегментом, которому следует уделить самое пристальное внимание, поскольку к 2017 г. прогнозируется рост всего рынка маршрутизаторов до 5,0 млрд долл.
Маршрутизаторы для домашних сетей (Home Networking) и малых офисных сетей (SOHO), как и обычные маршрутизаторы (роутер), служат для пересылки пакетов данных между компьютерными сетями, действуя на третьем (сетевом) уровне эталонной модели OSI (Open Systems Interconnection) согласно стандарту ISO/IEC 7498-1, который определяет взаимное соединение компьютерных сетей различного типа, включая Ethernet (т. е. протоколы IPv4 и IPv6).
Маршрутизаторы рассматриваемого нами типа обеспечивают взаимодействие между Интернетом и локальной сетью малого/домашнего офиса по специально проложенной от провайдера линии интернет-связи к маршрутизатору. Подключение к провайдеру может быть беспроводным (по сети 3G, 4G LTE или 4G WiMAX), но из-за ненадежности и малых скоростей передачи данных большую часть рынка SOHO в России занимают именно маршрутизаторы для выделенной проводной линии связи. Беспроводный доступ в Интернет, скорее, характерен для модемов сотовых сетей 3G/4G (третьего и четвертого поколения), когда соединение обеспечивается только для одного устройства. Поэтому далее мы будем предполагать, что доступ маршрутизатора в Интернет производится по проводной линии связи, подключенной к порту RJ-45 или оптическому. Однако соединения в самой домашней сети могут быть как проводными, так и беспроводными.
При проводном подключении по выделенной линии связи в сеть провайдера интернет-доступа используются динамические и/или статические протоколы IP, PPPoE, PPTP и L2TP, а также их специальные российские версии (отмеченные как Russia или Double Access) с двойным доступом. Проще говоря, несколько домашних компьютеров могут совместно использовать доступ в Интернет, причем SOHO-маршрутизатор обеспечит правильное распределение пакетов данных по всем компьютерам или сетевым устройствам в домашней/ SOHO-сети.
Главным, определяющим признаком принадлежности к группе SOHO является цена маршрутизатора (не выше 100–120 долл., а с технической точки зрения важным признаком можно считать наличие ТОЛЬКО ОДНОГО порта для доступа в Интернет, так называемого порта WAN (Wide Area Network, региональная сеть поставщика услуг Интернета в нашем случае), ведь пока еще в наши квартиры и офисы малых компаний не прокладывают дополнительную резервную линию связи для доступа в Интернет в случае отказа основного соединения. Кроме того, дома вряд ли потребуется формирование нескольких «демилитаризованных» областей защиты DMZ.
Как и маршрутизаторы крупных корпоративных сетей, маршрутизаторы SOHO используют так называемую таблицу маршрутизации для распределения пакетов данных, полученных из Интернета, по всем своим портам, т.е. по подключенным к этим портам сетевым устройствам в домашней/малой сети (SOHO). Маршрутизатор по адресу получателя из пакета данных с помощью таблицы маршрутизации определяет порт, на который следует его направить. Сеть SOHO отличается от крупной корпоративной сети только количеством пользователей/сетевых устройств, причем обычно считается, что локальная сеть SOHO обслуживает не более 10 пользователей, хотя эта цифра весьма условна и маршрутизатор SOHO может иметь до 10 проводных портов локальной сети (LAN) для подключения сетевых устройств и компьютеров пользователей.
Локальная сеть SOHO, как и крупные корпоративные сети, может быть смешанного типа для проводного/беспроводного подключения сетевых устройств. Для беспроводных подключений в сети SOHO обычно используется встроенная в маршрутизатор точка (беспроводного) доступа Access Point (AP), действующая, как правило, по протоколу Wi-Fi (IEEE 802.11) и способная объединить в сеть до 30 клиентских сетевых устройств в радиусе 103 м (реальные величины обычно значительно ниже из-за экранирования сигнала в строительных конструкциях здания, действия соседних точек AP и наводок от находящихся рядом источников электромагнитных помех). Встроенные в SOHO-маршрутизаторы AP с другими протоколами беспроводной связи (например, WiMAX) в России популярностью не пользуются.
Маршрутизаторы SOHO без AP
Маршрутизаторы SOHO с поддержкой только проводных соединений в локальной сети, очевидно, уходят в прошлое, поскольку большая часть домашних сетевых клиентских устройств (включая сотовые телефоны, планшеты, ноутбуки, медийные серверы и даже малогабаритные устройства потоковой передачи контента для телевизоров) обеспечивают удобное, хотя и низкоскоростное подключение по беспроводной сети Wi-Fi. В продаже еще остаются «только проводные» маршрутизаторы SOHO, однако их сегмент в ближайшем будущем будет сжат до специализированных нишевых продуктов, например, для сетей малых офисов с повышенной защитой, в которых в приказном порядке запрещены любые соединения «по воздуху» и широко используются различные протоколы создания шифрованных VPN-туннелей в сети Интернет.
Таблица 1. Характеристики маршрутизаторов SOHO без AP
Перед тем как оценить перечисленные изделия, следует «расшифровать» аббревиатуры и термины из таблицы. Для брандмауэра основными функциями являются NAT (Network Address Translation, трансляция сетевых адресов) и SPI (Stateful Packet Inspection, инспекция пакетов с учетом состояния), причем первая служит для скрытия реальных IP-адресов в домашней сети от исследования и выявления снаружи брандмауэра (т. е. из Интернета). Можно сравнить работу NAT с секретарем на телефоне, который переключает вызовы на дополнительные номера, не раскрывая их звонящему в офис. Вторая функция ограничивает передачу трафика через брандмауэр (сетевой экран) только активными в данный момент соединениями (или, продолжая нашу аналогию, это секретарь переключает вызовы только на реально присутствующих сотрудников). Еще одним способом защиты домашней сети является фильтрация пакетов по разным критериям (MAC-адресам, URL, IP-адресам, по ключевым словам и т. д.), чтобы пропустить через брандмауэр только пакеты данных, отвечающие определенным условиям (блокируя все нежелательные пакеты от возможных злоумышленников). Также на брандмауэр возлагаются функции защиты от внешних компьютерных атак на домашнюю сеть, включая защиту от атак отказа в обслуживании (DoS, Denial of Service), предотвращение перехвата трафика ARP Spoofing и т. д.
Рынок SOHO охватывает, в том числе, и работу на дому, поэтому для маршрутизаторов SOHO весьма важен защищенный доступ из домашней сети пользователя в корпоративную сеть на его работе. Для этого используются шифрованные соединения (туннели) виртуальных частных сетей VPN (Virtual Private Network). Хотя поддержание качества обслуживания QoS (Quality of Service) на определенном канале можно организовать простым выключением всех остальных устройств в сети, напрмер, когда из Интернета прямо на телевизор ведется трансляция кинофильма и нежелательны искажения из-за недостаточной полосы пропускания, некоторые функции QoS реализованы даже в SOHO-маршрутизаторах. Здесь, прежде всего, следует отметить многоадресные рассылки (multicast) по протоколу IGMP, позволяющие экономить пропускную способность, когда поток пакетов поступает на несколько приемников одновременно.
Теперь рассмотрим наиболее значимые компании в сегменте SOHO-маршрутизаторов без AP Компания ASUS полностью прекратила производство маршрутизаторов SOHO без AP, поэтому в таблице представлена еще остающаяся в продаже модель серии RX, а новое поколение беспроводных маршрутизаторов серии RT рассмотрено в следующей подкатегории (причем, несмотря на «беспроводное» название, 4 гигабитных проводных порта оставлены даже в бюджетной модели ASUS RT-AC66U). Компания D-Link выбрала другую стратегию: оставлены две модели проводных маршрутизаторов SOHO — нишевые и достаточно дорогие серии: DIR-140L с широчайшим выбором функций VPN (вплоть до такой экзотики, как встроенный сервер DNS для удаленных шлюзов) и DIR-100F с посадочным местом под съемный оптический модуль SFP для восходящего порта WAN. TP-Link сохранила простые бюджетные модели, как например TL-R860 на 8 портов или TL-R460 на 4 порта локальной сети, но дополнила их моделью TL-R600VPN с расширенными функциями VPN и межсетевого экрана (брандмауэра). TRENDnet предлагает маршрутизатор TW100-BRV214со множеством функций брандмауэра (TW100-BRF114) вместе с моделью, в которой дополнительно добавлены функции VPN. Компания UPVEL прочно удерживает сегмент самых дешевых устройств и в классе проводных маршрутизаторов SOHO предлагает одну (единственную и флагманскую) модель UR-305B с самой низкой ценой за сходный набор функций.
Компании NETGEAR и ZyXEL прекратили поставки проводных маршрутизаторов SOHO, но широко представлены в категории маршрутизаторов SOHO с точкой доступа AP.
Маршрутизаторы SOHO с AP
Беспроводные сети пока значительно отстают от проводных сетей по полосе пропускания и пропускной способности (табл. 2), например типовое беспроводное устройство для рынка SOHO теоретически может достичь скорости передачи данных 300 Мбит/с по протоколу IEEE 802.11n (последняя версия) или 54 Мбит/с по протоколу IEEE 802.11g (наиболее популярный вариант), хотя аналогичные по стоимости проводные устройства давно уже работают на гигабитных скоростях. Более того, для всех протоколов семейства Wi-Fi указана суммарная скорость передачи для всей точки беспроводного доступа (AP), поэтому при подключении к ней двух компьютеров скорость передачи сократится вдвое. Кроме того, в реальных условиях точка доступа AP сможет использовать для передачи полезных (пользовательских) данных только половину от пропускной способности передачи сигналов «по воздуху». Проще говоря, реальная скорость передачи полезных данных для протокола IEEE 802.11g составляет не 54, а примерно 20–25 Мбит/с для пересылки данных с помощью стека протоколов TCP/IP (т. е. по каналу Ethernet).
Однако отсутствие кабелей и всех связанных с их прокладкой проблем (штробы и отверстия в стенах, невозможность перекладки, сложность монтажа и обслуживания. ) привело к практически повсеместному использованию технологии Wi-Fi в качестве среды передачи домашних сетей SOHO. Поэтому большая часть маршрутизаторов SOHO имеет встроенную точку доступа AP, позволяющую подключиться к сети Интернет практически с любого устройства в любом месте квартиры.
Рынок маршрутизаторов SOHO немного отличается от рынка другой бытовой электронной техники, поскольку во многих случаях провайдеры доступа в Интернет рекомендуют потребителю вполне определенную модель маршрутизатора SOHO, которая была квалифицированно выбрана по оптимальному показателю стоимость/функциональные возможности. Но реально лишь малая часть широких возможностей современного маршрутизатора SOHO будет применяться домашним пользователем или администратором сети малого офиса. Во многих случаях настройка маршрутизатора SOHO начинается и заканчивается вводом регистрационного имени (логина) и пароля для доступа в сеть провайдера и, иногда, изменением имени точки доступа AP. Поэтому дорогие модели с большим числом не очень понятных рядовому пользователю функций показывают незначительные объемы продаж в сравнении с SOHO-маршрутизаторами нижнего и среднего ценовых диапазонов. В нижнем ценовом диапазоне на выбор маршрутизатора очень незначительно влияет известность бренда, привлекательная упаковка или изощренный дизайн. Как правило, цена всегда оправдана состоянием рынка и составом поддерживаемых функций.
Для всех SOHO-маршрутизаторов c AP в целом часто приводят производительность беспроводной сети, которая определяется двумя техническими характеристиками: поддерживаемыми протоколами и количеством частотных диапазонов.
Если для маршрутизатора с AP вместо стандартной для протокола IEEE 802.11n скорости 300 Мбит/с указано 450 Мбит/с или более, то применяется один из методов уплотнения¸ смысл которого — в использовании нескольких частотных каналов диапазона для организации соединения между двумя устройствами. Например, технология MIMO (Multiple Input Multiple Output, несколько входов — несколько выходов) создает три потока данных с максимальной теоретической пропускной способностью в 450 Мбит/с, а технология WPS (Wi-Fi Protected Setup, защищенная настройка Wi-Fi) позволяет подключать устройства, поддерживающие данную технологию, к сети Wi-Fi одним нажатием кнопки.
Специальный протокол WMM дополняет возможности качества обслуживания QoS за счет резервирования полосы пропускания трафикам IP-телефонии, видео и игр при назначении этим видам трафика повышенного приоритета.
Таблица 2. Характеристики маршрутизаторов SOHO с AP нижней ценовой категории
В нижнем ценовом сегменте стоимость четко определяется составом функций брандмауэра, а также поддержкой новых технологий энергосбережения. Чисто маркетинговые повышения стоимости обычно отсутствуют, например для UR-315BN от UPVEL в рекламных материалах заявлена поддержка интернет-телевидения, но обеспечено это обычными многоадресными рассылками, поэтому на стоимости не отражается.
Однако функции коммутации (как для проводного, так и для беспроводного сегментов локальной сети) представлены слабо, если вообще имеются. Дело в том, что маршрутизаторы нижнего ценового сегмента с точкой беспроводного доступа предназначены, прежде всего, для обеспечения совместного доступа в Интернет, т. е. являются типовыми шлюзами Интернета без поддержки функций формирования и администрирования внутренней локальной сети. В этом нет ничего плохого, но перекачивать файлы между соседними компьютерами на одном столе придется через Интернет.
Таблица 3. Характеристики маршрутизаторов SOHO с AP средней ценовой категории
В среднем ценовом диапазоне (см. табл. 3) появляются гигабитные порты коммутатора, «фирменные» технологии (например, AiCloud от ASUS), увеличивается количество антенн, а также расширяются возможности встроенного коммутатора, брандмауэра, VPN и QoS.
Таблица 4. Характеристики маршрутизаторов SOHO с AP верхней ценовой категории
По заявленным техническим характеристикам SOHO-маршрутизаторы верхней ценовой категории отличаются от аналогичных устройств среднего ценового сегмента только большим присутствием двухдиапазонных моделей и более широким использованием портов USB (см. табл. 4), но, на самом деле, резкое увеличение стоимости обусловлено внутренними параметрами, которые не принято указывать в документации: объем памяти для буферных таблиц коммутатора, скорость анализа пакетов брандмауэром, учет приоритетов QoS и т. д. Различие может быть выявлено в тестах или при сравнении на практике, но стандартных методик оценки производительности пока не существует, поэтому любые исследования в этой области отличаются весьма предвзятыми результатами.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.
Поместить в блог
Комментарии к статье
| Рекламные ссылки |
После этого с использованием программного пакета NetIQ Chariot 5.0 измерялся трафик по протоколу TCP между компьютерами, подключёнными к маршрутизатору, для чего в течение 5 мин. запускались скрипты, эмулирующие передачу и получение файлов соответственно. Инициирование на передачу данных происходило из внутренней LAN-сети. Передача данных от LAN- к WAN-сегменту эмулировалась с использованием скрипта Filesndl.scr (передача файлов), а передача в обратном направлении – с помощью скрипта Filercvl.scr (получение файлов). Схема тестирования маршрутизатора в режиме WAN–LAN приведена на рис. 1 . Кроме того, проверялась производительность маршрутизатора при использовании демилитаризованной зоны (DMZ-зона). Возможно, для домашних пользователей данная функция и не очень актуальна (мало кому необходимо получить доступ к своему домашнему ПК извне), но для корпоративных пользователей эта функция может оказаться востребованной. Для проверки скорости маршрутизации при использовании DMZ-зоны компьютер во внутренней сети (ноутбук) помещался в демилитаризованную зону. Инициирование на передачу данных происходило из внешней WAN-сети, а скорость передачи данных между DMZ-и WAN-сегментами сети измерялась так же, как и в предыдущем тесте. Схема тестирования маршрутизатора в режиме WAN–DMZ приведена на рис. 2 . Рис. 1. Схема тестирования маршрутизатора в режиме WAN–LAN Рис. 2. Схема тестирования маршрутизатора в режиме WAN–DMZ Тест 2. Скорость маршрутизации WAN–WLAN (беспроводной сегмент)На следующем этапе оценивалась скорость маршрутизации при передаче данных между внешним сегментом WAN и внутренним беспроводным сегментом сети (WLAN). Для этого к порту WAN подключался ПК по интерфейсу 10/100 Base-TX, а между встроенной точкой доступа и ноутбуком на базе мобильной технологии Intel Centrino c интегрированным беспроводным адаптером устанавливалось беспроводное соединение по протоколу IEEE 802.11g. Сетевые настройки портов маршрутизатора и сетевых адаптеров подключённых ПК приведены в табл. 2 . Таблица 2. Сетевые настройки при тестировании маршрутизатора в режиме WAN–WLAN Компьютер, подключаемый к WAN-порту | |
Схема тестирования маршрутизатора в режиме WAN–W LAN приведена на рис. 3 .
Измерение скорости маршрутизации проводилось точно так же, как и в предыдущем тесте. Как показало наше тестирование, использование различных режимов шифрования трафика (WEP, TKIP, AES) никак не отражается на скорости передачи данных. Поэтому мы решили даже не приводить результатов, поскольку они полностью совпадают с соответствующими результатами в отсутствие шифрования.
Рис. 3. Схема тестирования маршрутизатора в режиме WAN–W LAN
Тест 3. Скорость маршрутизации LAN–WLAN (беспроводной сегмент)
Для тестирования встроенной в маршрутизатор точки доступа к LAN-порту подключался ПК по интерфейсу 10/100 Base-TX, а встроенная точка доступа взаимодействовала по протоколу 802.11g с ноутбуком, оснащённым интегрированным беспроводным контроллером. Измерение скорости передачи данных проводилось точно так же, как и в предыдущем тесте. Сетевые настройки портов маршрутизатора и сетевых адаптеров подключённых ПК приведены в табл. 3 .
Таблица 3. Сетевые настройки при тестировании маршрутизатора в режиме WAN–WLAN
Компьютер, подключаемый к LAN-порту
LAN-порт маршрутизатора
Компьютер во WLAN-сегменте сети
IP-адрес
192.168. 1.100
192.168.1.254
192.168.1.20
Маска подсети
255.255.255.0
255.255.255.0
255.255.255.0
Шлюз по умолчанию
192.168.1.254
Результаты тестирования
Результаты тестирования маршрутизаторов по описанной выше методике приведены на рис. 4–7 .
Рис. 4. Результаты тестирования маршрутизаторов в режиме LAN–WAN
Рис. 5. Результаты тестирования маршрутизаторов в режиме DMZ–WAN
Рис. 6. Результаты тестирования маршрутизаторов в режиме WLAN–WAN
Рис. 7. Результаты тестирования маршрутизаторов в режиме WLAN–LAN
Понятно, что использование одних лишь результатов тестов, отражающих скоростные возможности маршрутизаторов, для их объективного сравнения было бы крайне ошибочным. Конечно, производительность маршрутизаторов имеет большое значение, однако верно и то, что в большинстве случаев эта производительность остаётся невостребованной. К примеру, если ваш выделенный Интернет-канал имеет пропускную способность 256 Кбит/с (0,25 Мбит/с), то вряд ли скорость маршрутизации, измеряемая десятками мегабит в секунду (Мбит/с), имеет хоть какое-нибудь значение при выборе маршрутизатора. И в этом смысле на основании того, что для одного маршрутизатора скорость маршрутизации составляет 12 Мбит/с, а для другого – 75 Мбит/с, делать вывод, что второй маршрутизатор лучше первого, было бы неверно.
Но если ориентироваться лишь на результаты тестирования не совсем корректно, то как же тогда сравнивать маршрутизаторы? Давайте вспомним, что маршрутизаторы имеют различные функциональные возможности и возможности по настройке. Именно эти функциональные возможности, а отнюдь не незначительная разница в производительности, в конечном счёте и оказываются решающим обстоятельством в пользу выбора того или иного маршрутизатора. Поэтому в нашем сравнительном тестировании мы уделяли большое внимание именно функциональным возможностям маршрутизаторов. При этом мы опирались на то, что рассматриваемые нами модели ориентированы на конечного пользователя, поэтому они должны быть просты в настройке.
В плане функциональных возможностей маршрутизаторы могут значительно отличаться друг от друга. Это касается и беспроводной части, и встроенного Firewall. К примеру, разные беспроводные маршрутизаторы могут предусматривать различные режимы работы точки доступа (только точка доступа, режим моста, гибридный режим), поддерживать различные методы аутентификации и шифрования и т.д.
Варианты настройки Firewall ещё более разносторонние – это и возможности активирования протокола NAT, и активирование различных правил, и возможности создания виртуального сервера. Кроме того, в некоторых моделях маршрутизаторов предусмотрены различные режимы VPN Pass Through, то есть режимы поддержки виртуальных туннелей.
Естественно, что отразить все функциональные возможности сравниваемых маршрутизаторов в некой единой таблице невозможно в силу их разнообразия. Поэтому подробно об особенностях каждого маршрутизатора мы расскажем при описании конкретных моделей. Однако, учитывая, что многие функции маршрутизаторов идентичны друг другу, первоначально мы рассмотрим типичные функциональные возможности современных беспроводных маршрутизаторов.
Функциональные возможности современных беспроводных маршрутизаторов
Большинство беспроводных маршрутизаторов класса SOHO имеют один WAN-порт и четыре LAN-порта. С учётом интегрированной в маршрутизатор точки доступа это позволяет строить достаточно гибкую сетевую инфраструктуру, сочетающую в себе как кабельные, так и беспроводные сегменты сети. Впрочем, есть и исключения. Так, в маршрутизаторах, которые можно охарактеризовать как карманные, имеется всего один порт, который, в зависимости от режима работы маршрутизатора, может выполнять либо функцию WAN-порта, либо функцию LAN-порта.
Настройка WAN-и LAN-сегментов сети
Традиционно функции настройки внутренней сети (сегмент LAN) включают возможность задания IP-адреса и маски подсети самого маршрутизатора, а также настройку встроенного DHCP-сервера и указание временного интервала (DHCP time leasing), в течение которого автоматически присваиваемые IP-адреса не меняются.
Кроме того, может быть предусмотрена настройка таблицы Force IP-MAC Mapping (название может быть иным, но суть та же), в которой задаётся соответствие между IP-и MAC-адресом сетевого устройства.
- Dynamic IP Address;
- Static IP Address;
- PPPoE;
- PPPoE Unnumber
- PPTP
- L2 TP
При использовании динамического присвоения IP-адреса (Dynamic IP Address) потребуется указать лишь Host Name, то есть имя вашего узла в сети.
При использовании статического IP-адреса (Static IP Adddress), кроме присвоения имени ISP, потребуется указать IP-адрес WAN-порта (WAN IP Address), маску подсети (WAN Subnet Mask), шлюз по умолчанию (WAN Gateway), а также DNS сервера.
При использовании подключения типа PPPoE (наиболее распространённая ситуация) необходимо задать также имя ISP (Internet Service Provider), указать логин и пароль для доступа в Интернет и адреса DNS-серверов (то есть указать всю ту информацию, которой вас снабжает провайдер Интернета).
Если провайдер предполагает тип подключения PPPoE Unnumber (что вряд ли), то дополнительно придётся задать имя соединения (ISP Name), имя пользователя и пароль, а также имя сервиса и DNS серверов. Кроме того, потребуется указать IP-адрес и маску подсети для WAN-порта и задать тип аутентификации (Auto, CHAP, PAP), а также указать настройки протокола NAT (Disable, Enable, UPnP& NAT)
Настройка беспроводной сети
Возможности по настройке беспроводной сети традиционно включают в себя возможность указания идентификатора сети (SSID), задания скорости соединения и выбора канала связи. Кроме того, многие маршрутизаторы поддерживают возможность указания типа сети (только клиенты 802.11 g или смешанная сеть), что позволяет ограничить беспроводную сеть только клиентами, поддерживающими протокол 802.11g. Это, в свою очередь, повышает скорость связи, поскольку в смешанной сети, состоящей из клиентов, поддерживающих протоколы 802.11g и 802.11b, скорость соединения уменьшается за счёт использования несколько иных алгоритмов взаимодействия между клиентами сети, нежели в гомогенной сети.
Кроме того, беспроводные маршрутизаторы могут поддерживать режим Hide SSID (Broadcast SSID), что делает беспроводную сеть «невидимой» при сканировании беспроводных сетей. Фактически Hide SSID является функцией, повышающей безопасность беспроводного соединения – если не знать SSID беспроводной сети, то подключиться к ней нельзя, поскольку в списке обнаруженных беспроводных сетей данная сеть просто не будет отражена.
Методы повышения безопасности беспроводного соединения включают возможность настройки фильтра по MAC-адресам, а также различные функции аутентификации пользователей и шифрования данных.
- Open System (без аутентификации);
- Shared Key (аутентификация на основе общих ключей);
- WPA-PSK (аутентификации по протоколу WPA с общими ключами);
- WPA (аутентификация по протоколу WPA),
- 802.1x (аутентификация по протоколу 802.1x).
В случае выбора типа Open System используются автоматически сгенерированные ключи, которыми обмениваются передающая и принимающая стороны.
Аутентификация на основе общих ключей предполагает, что все клиенты беспроводной сети будут использовать один и тот же ключ (WEP Key), который указывается явным образом. Длина ключа может составлять 64 или 128 бит. Всего возможно задание до четырёх ключей с указанием ключа по умолчанию. При использовании данного типа аутентификации обязательным является WEP-шифрование передаваемых данных.
Аутентификация по протоколу WPA с общими ключами (WPA Pre-shared key) предполагает использование пароля (ключа) длиной от 8 до 64 символов. Кроме того, возможно устанавливать время действия пароля (WPA PSK Re-Key Timer).
При аутентификации по протоколу WPA Pre-shared key применяется шифрование TKIP (Temporary Key Integrity Protocol) или AES. Естественно, что AES-шифрование является более предпочтительным.
Аутентификация 802.1x является сегодня наиболее безопасной и использует клиент-серверную модель, поддерживающую централизованную аутентификацию и учёт пользователей средствами сервера RADIUS, который выступает единой точкой аутентификации.
При выборе метода аутентификации WPA применяется шифрование TKIP (Temporary Key Integrity Protocol) или AES. Кроме того, имеется возможность устанавливать время действия пароля (WPA Re-Key Timer).
Аутентификации по протоколу WPA и 802.1x ориентирована на корпоративных пользователей. Для домашних пользователей данная функция маршрутизатора является избыточной и не представляет интереса.
Настройка виртуального сервера
Для доступа к локальной сети из внешней сети в обход протокола NAT маршрутизаторы поддерживают создание демилитаризованной зоны (DMZ-зона), возможность конфигурирования виртуального сервера, а также функцию динамического перенаправления портов.
В DMZ-зону можно включить всего один компьютер, указав принадлежность его IP-адреса к DMZ-зоне. В этом случае при указании IP-адреса WAN-порта маршрутизатора все запросы будут перенаправляться на IP-адрес компьютера в DMZ-зоне. Фактически это позволяет получить доступ к ПК во внутренней сети в обход маршрутизатора, что, конечно же, снижает безопасность, но в некоторых случаях это необходимо.
- Virtual Server IP: 192.168.1.1;
- Protocol: TCP;
- Port: 21;
пользователь может получить доступ к FTP-серверу (порт 21), установленному на ПК внутренней сети с IP-адресом 192.168.1.1. Для реализации такого доступа необходимо указать WAN-порта маршрутизатора, а не IP-адрес виртуального сервера.
Технология динамического перенаправления портов (встречаются названия Port Trigger, Special Application) заключается в том, чтобы открыть определённые порты в брандмауэре – это может потребоваться для некоторых Интернет-приложений, которым необходимо передавать запросы из внешнего сегмента сети (WAN) во внутренний (LAN).
При активировании режима перенаправления портов задаётся соответствие между входящим портом (Incoming Port) и портом Trigger Port. В этом случае маршрутизатор следит за исходящим трафиком, то есть за тем трафиком локального сегмента, который направлен в Интернет и соответствует заданному критерию. Если такой трафик обнаружен, то маршрутизатор запоминает IP-адрес компьютера, от которого этот трафик исходит. При поступлении данных обратно в локальный сегмент включается перенаправление портов, и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и любой другой компьютер может создать новое перенаправление уже на свой IP-адрес. Таким образом, создается иллюзия того, что сразу несколько компьютеров одновременно используют перенаправление одного и того же порта, хотя на самом деле перенаправление одномоментно может использовать только один компьютер.
Настройка брандмауэра
Возможности по настройке встроенного в маршрутизатор брандмауэра достаточно разнообразны и зависят от конкретной модели маршрутизатора и версии прошивки. В большинстве случаев речь идёт о возможности создания правил фильтрации входящего и выходящего трафиков.
Из расширенных возможностей можно отметить поддержку режима виртуальных частных сетей в режиме пропускания (VPN Pass Through).
Продолжение материала читайте в следующей его части. В ней мы более подробно рассмотрим маршрутизаторы ASUS WL-530G, ASUS WL-500G Deluxe, Gigabyte AirCruiser G GN-BR01G и Gigabyte GN-B49G
Оригинал статьи на «www.ferra.ru»
| Далее |